S narůstajícím množstvím webových stránek a aplikací, které vyžadují unikátní přihlašovací údaje, tedy uživatelské jméno a heslo, může se zdát lákavé používat identické přihlašovací údaje na všech těchto platformách. Nicméně, taková praxe představuje značné bezpečnostní riziko.
Analýza více než 15 miliard kompromitovaných přihlašovacích údajů, kterou provedla společnost SpyCloud ve své výroční zprávě o vystavení identit za rok 2022, odhalila, že celých 65 % prolomených hesel bylo použito pro minimálně dva různé účty.
Pro uživatele se opakované používání přihlašovacích údajů může jevit jako efektivní metoda, jak předejít zapomínání hesel, ovšem v realitě se jedná o riskantní strategii, která může vést ke značným problémům.
V případě, že dojde k narušení jednoho ze systémů a vaše přihlašovací údaje se dostanou do nesprávných rukou, hrozí nebezpečí kompromitace všech dalších účtů, které používají stejné přihlašovací údaje. Vzhledem k tomu, že kompromitované přihlašovací údaje se na temném webu obchodují za nízké ceny, můžete se snadno stát obětí tzv. „credential stuffing“, neboli plnění přihlašovacích údajů.
Plnění přihlašovacích údajů je kybernetický útok, při kterém útočníci zneužívají odcizené přihlašovací údaje pro jeden online účet či systém a pokouší se s nimi získat přístup k jiným, nesouvisejícím účtům či systémům.
Například, pokud útočník získá vaše uživatelské jméno a heslo k vašemu účtu na sociální síti Twitter, pokusí se tyto kompromitované přihlašovací údaje použít i k získání přístupu k vašemu účtu u platební platformy PayPal.
Pokud náhodou používáte stejné přihlašovací údaje pro Twitter a PayPal, váš PayPal účet bude kompromitován z důvodu prolomení vašich přihlašovacích údajů na Twitteru.
Pokud navíc používáte stejné přihlašovací údaje pro Twitter i pro další online účty, i ty mohou být ohroženy. Takový útok, známý jako credential stuffing, využívá rozšířeného zvyku uživatelů opakovaně používat přihlašovací údaje na různých online platformách.
Zlovolní aktéři, kteří provádějí útoky na plnění pověření, obvykle automatizují tento proces pomocí robotů, což jim umožňuje zpracovat velké množství kompromitovaných přihlašovacích údajů a cílit na mnoho různých online platforem. Díky únikům dat a prodeji kompromitovaných přihlašovacích údajů na temném webu se útoky na plnění pověření staly velmi běžnými.
Jak funguje plnění přihlašovacích údajů
Útok plněním přihlašovacích údajů začíná získáním kompromitovaných uživatelských jmen a hesel. Tato data mohou být zakoupena na temném webu, získána z veřejně dostupných seznamů hesel nebo pocházet z datových úniků a phishingových útoků.
Následujícím krokem je nasazení robotů, kteří testují odcizené přihlašovací údaje na různých webových stránkách. Automatizovaní roboti jsou klíčovým nástrojem při útocích na plnění pověření, protože dokáží provádět testování velkého počtu přihlašovacích údajů na mnoha webových stránkách vysokou rychlostí.
Roboti také dokáží obejít blokování IP adres, které nastává po několika neúspěšných pokusech o přihlášení.
Společně s útokem plněním pověření probíhají i automatické procesy, které sledují úspěšná přihlášení. Tímto způsobem útočníci rychle identifikují přihlašovací údaje, které fungují na konkrétních webových stránkách a mohou je využít k převzetí kontroly nad těmito účty.
Jakmile útočníci získají přístup k účtu, mohou s ním nakládat dle vlastního uvážení. Mohou prodávat přihlašovací údaje jiným útočníkům, krást citlivé informace, provádět krádeže identit, nebo používat účet k online nákupům, zvláště pokud se jedná o bankovní účet.
Proč jsou útoky na plnění pověření účinné
Útok credential stuffing sice vykazuje relativně nízkou míru úspěšnosti, podle zprávy „The Economy of Credential Stuffing Attacks Report“ společnosti Insikt Group, divize pro výzkum hrozeb společnosti Recorded Future, se průměrná úspěšnost pohybuje mezi jedním až třemi procenty.
I přes nízkou míru úspěšnosti, společnost Akamai Technologies ve své zprávě o stavu internetu a zabezpečení z roku 2021 zaznamenala celosvětově 193 miliard útoků na plnění pověření v roce 2020.
Důvodem vysokého počtu útoků na plnění pověření a jejich rostoucího rozšíření je velký objem dostupných kompromitovaných přihlašovacích údajů a dostupnost pokročilých nástrojů pro automatizaci, díky kterým jsou tyto útoky efektivnější a téměř nerozpoznatelné od přihlašování skutečnými lidmi.
Například, i při nízké míře úspěšnosti, jako je pouhé jedno procento, může útočník s 1 milionem kompromitovaných přihlašovacích údajů získat přístup k přibližně 10 000 účtům. Na temném webu se obchoduje s obrovským množstvím kompromitovaných přihlašovacích údajů a tyto velké objemy se mohou opakovaně využívat na mnoha platformách.
Tyto velké objemy kompromitovaných přihlašovacích údajů vedou ke zvýšení počtu kompromitovaných účtů. Ve spojení se skutečností, že uživatelé stále opakovaně používají stejné přihlašovací údaje na mnoha online platformách, jsou útoky na plnění přihlašovacích údajů velmi účinné.
Plnění pověření vs. útoky hrubou silou
Ačkoli oba typy, útoky na plnění pověření i útoky hrubou silou, jsou útoky zaměřené na převzetí účtu a organizace Open Web Application Security Project (OWASP) považuje plnění pověření za podmnožinu útoků hrubou silou, liší se způsobem provedení.
Při útoku hrubou silou se útočník pokouší převzít účet hádáním uživatelského jména nebo hesla nebo obojího. Obvykle se to provádí testováním co nejvíce kombinací uživatelských jmen a hesel bez jakéhokoli kontextu nebo předchozích znalostí o tom, co by mohlo být správné.
Útok hrubou silou může využívat běžně používané vzory hesel nebo slovník často používaných hesel, jako jsou „qwerty“, „heslo“ nebo „12345“. Útok hrubou silou může být úspěšný, pokud uživatel používá slabá nebo výchozí hesla.
Na druhou stranu útok plněním pověření se snaží převzít účet pomocí kompromitovaných přihlašovacích údajů získaných z jiných systémů nebo online účtů. Útok plněním pověření tedy nehádá pověření. Jeho úspěch závisí na tom, zda uživatel opakovaně používá stejné pověření na mnoha online účtech.
Obvykle je míra úspěšnosti útoků hrubou silou mnohem nižší než u plnění pověření. Útokům hrubou silou lze předejít používáním silných hesel. Používání silných hesel však nezabrání plnění pověření, pokud je silné heslo sdíleno mezi více účty. Plnění přihlašovacích údajů se dá zabránit používáním jedinečných přihlašovacích údajů pro každý online účet.
Jak zjistit útoky na plnění pověření
Pachatelé útoků plněním pověření obvykle používají roboty, které napodobují lidské chování. Proto je často obtížné odlišit pokus o přihlášení skutečným uživatelem od pokusu robota. Nicméně existují náznaky, které mohou signalizovat probíhající útok na plnění pověření.
Například náhlý nárůst webového provozu by měl vyvolat podezření. V takovém případě je třeba sledovat pokusy o přihlášení na web a pokud dochází k nárůstu pokusů o přihlášení z mnoha IP adres nebo ke zvýšení míry neúspěšných přihlášení, může to znamenat probíhající útok plněním pověření.
Dalším indikátorem útoku na plnění přihlašovacích údajů jsou stížnosti uživatelů na zablokování jejich účtů nebo přijímání upozornění o neúspěšných pokusech o přihlášení, které sami neprovedli.
Kromě toho je důležité sledovat aktivitu uživatelů. Pokud zaznamenáte neobvyklé aktivity, jako jsou změny v nastavení, profilových informacích, peněžní převody a online nákupy, může to signalizovat probíhající útok na plnění pověření.
Jak se chránit před plněním pověření
Existuje několik opatření, která můžete přijmout, abyste se nestali obětí útoků na plnění pověření. Patří mezi ně:
#1. Nepoužívejte opakovaně stejné přihlašovací údaje pro více účtů
Plnění přihlašovacích údajů závisí na tom, že uživatelé sdílejí své přihlašovací údaje mezi různými online účty. Tomu se lze snadno vyhnout používáním jedinečných přihlašovacích údajů pro každý online účet.
Díky správcům hesel, jako je například Google Password Manager, mohou uživatelé používat silná a unikátní hesla, aniž by se museli obávat, že je zapomenou. Společnosti mohou také zabránit opakování hesel tím, že zakáží používání e-mailových adres jako uživatelských jmen. Tímto způsobem je pravděpodobnější, že uživatelé budou používat odlišné přihlašovací údaje pro různé platformy.
#2. Používejte vícefaktorové ověřování (MFA)
Vícefaktorové ověřování využívá více metod k ověření totožnosti uživatele, který se pokouší přihlásit. Může být realizováno kombinací tradiční metody ověřování pomocí uživatelského jména a hesla s dalším tajným bezpečnostním kódem, který je uživateli zasílán prostřednictvím e-mailu nebo textové zprávy, pro dodatečné potvrzení identity. Je to velmi účinný způsob prevence plnění pověření, protože přidává další vrstvu zabezpečení.
Může vám dokonce dát vědět, že se někdo pokouší o kompromitaci vašeho účtu, protože obdržíte bezpečnostní kód bez vašeho vyžádání. MFA je tak efektivní, že studie společnosti Microsoft zjistila, že online účty, které používají MFA, mají o 99,9 procent menší pravděpodobnost, že budou kompromitovány.
#3. Otisk zařízení
Fingerprinting zařízení, neboli digitální otisk zařízení, umožňuje propojit přístup k online účtu s konkrétním zařízením. Fingerprinting zařízení identifikuje zařízení, které se používá pro přístup k účtu, a to na základě informací, jako je model a sériové číslo zařízení, používaný operační systém, jazyk a země.
Tímto způsobem se vytvoří jedinečný digitální otisk zařízení, který je následně propojen s uživatelským účtem. Přístup k účtu pomocí jiného zařízení je bez dodatečného povolení ze strany zařízení spojeného s účtem nemožný.
#4. Sledujte úniky hesel
Když si uživatelé vytvářejí uživatelská jména a hesla pro online platformy, je užitečné ověřovat nejen sílu hesel, ale také porovnávat tato nová přihlašovací údaje s publikovanými uniklými hesly. Pomáhá to předcházet použití přihlašovacích údajů, které by později mohly být zneužity.
Organizace mohou implementovat řešení, která sledují přihlašovací údaje uživatelů ve vztahu k únikům přihlašovacích údajů na temném webu a upozorní uživatele, když je nalezena shoda. V takovém případě mohou být uživatelé vyzváni k ověření identity pomocí různých metod, ke změně přihlašovacích údajů a k implementaci MFA pro další ochranu svého účtu.
#5. Hashování pověření
Zahrnuje kódování přihlašovacích údajů uživatelů před jejich uložením do databáze. Pomáhá to chránit před zneužitím přihlašovacích údajů v případě úniku dat, protože přihlašovací údaje budou uloženy ve formátu, který nelze použít.
Ačkoli se nejedná o zcela spolehlivou metodu, může uživatelům dát čas na změnu hesla v případě úniku dat.
Příklady útoků na plnění pověření
Některé pozoruhodné příklady útoků na plnění pověření zahrnují:
- Krádež více než 500 000 přihlašovacích údajů k platformě Zoom v roce 2020. Tento útok byl proveden s využitím uživatelských jmen a hesel získaných z různých fór na temném webu. Některé z těchto přihlašovacích údajů pocházely dokonce z útoků již v roce 2013. Ukradené přihlašovací údaje byly zveřejněny a prodávány za nízké ceny na temném webu.
- Kompromitace tisíců uživatelských účtů Kanadské daňové agentury (CRA). V roce 2020 bylo přibližně 5 500 účtů CRA kompromitováno ve dvou oddělených útocích na plnění pověření, což uživatelům znemožnilo přístup ke službám nabízeným agenturou.
- Kompromitace 194 095 uživatelských účtů společnosti The North Face. The North Face, společnost zabývající se prodejem sportovního oblečení, se stala obětí útoků na plnění pověření v červenci 2022. Útok vedl k úniku jmen uživatelů, telefonních čísel, pohlaví, věrnostních bodů, fakturačních a doručovacích adres, dat vytvoření účtu a historie nákupů.
- Útok na plnění pověření platformy Reddit v roce 2019. Mnoho uživatelů Redditu nemělo přístup ke svým účtům poté, co byly jejich přihlašovací údaje kompromitovány útoky na plnění pověření.
Tyto útoky podtrhují důležitost ochrany před podobnými hrozbami.
Závěr
Možná jste se již setkali s nabídkami prodeje přihlašovacích údajů ke streamovacím webům, jako jsou Netflix, Hulu a Disney+, nebo k online službám jako Grammarly, Zoom a Turnitin. Jak si myslíte, že prodejci získávají tyto údaje?
Takové přihlašovací údaje jsou pravděpodobně získány prostřednictvím útoků plněním pověření. Pokud používáte stejné přihlašovací údaje pro více online účtů, je nejvyšší čas je změnit, než se stanete obětí.
Pro další ochranu implementujte vícefaktorové ověřování na všechny své online účty a vyhýbejte se nákupu kompromitovaných přihlašovacích údajů, protože to vytváří prostředí příznivé pro útoky plněním pověření.